Sécurité des serveurs et application web Mixte : présentiel / à distance

• Les enjeux de la sécurité web

• Les méthodes d'attaque sur le web et comment s'en protéger

• Les bases de la cryptographie, quand et comment l'utiliser

• Les méthodes d'authentification web

• Les bonnes pratiques de développement sécurisé

• Les techniques de protection des serveurs

• Développeur web

• Architecte d'application web ou de solutions de sécurité web (pare-feu applicatif…)

• Administrateur systèmes

• Pentester débutant

Introduction

• La sécurité informatique

• Cadre normatif et législatif

• Les différents types de menace et leurs évolutions

• Comprendre l'attaquant pour mieux se protéger

L'infrastructure web

• L'analyse de risques intégrée dans un projet

• Les spcécifications des exigences de sécurité liées aux spécifications d'un logiciel et de son infrastructure

• Les choix de design

• Architecture matérielle et applicative

• Découverte de l'environnement

Travaux pratiques : collecte d'information, scan réseau, transfert de zone, protection

Les protocoles du web

• Le protocole HTTP :

• Les méthodes de base
• Les entêtes
• Cookie, token et session
• Les failles du HTTP

• Les autres protocoles sur HTTP

Travaux pratiques : Proxy, exploitation d'un analyseur de réseau, configuration d'entêtes, attaques sur sessions

Sécurisation des données et des flux

• Eléments de cryptographie

• Chiffrement des flux de données

• Signature électronique, certificats

• Chiffrement des données

Travaux pratiques : récupération de mots de passes

L'authentification

• Méthodes d'authentification http :

• Basic
• Digest
• Formulaire HTML

• Méthodes d'authentification forte :

• Token PKI
• Certificat
• Autres méthodes

• Modèles de délégation

• Principes d'infrastructure Single Sign On

Les applications Web

• Les attaques par injection :

• Côté serveur (Commandes, LDAP, SQL…)
• Côté client (XSS)

• Les attaques par inclusion :

• Inclusions de fichiers locaux
• Inclusions de fichiers distants

• Durcissement des serveurs et des OS :

• Principes généraux sous Windows
• Principes généraux sous Linux

• Développement sécurisé

Travaux pratiques : configuration d'un serveur web, attaques courantes et contremesures

• Cours magistral illustré et approfondi par des travaux pratiques

• Formation dispensée en français